Re: [PUG] HILFE!!! SQUID, IpTables, HTTP und woody...

Christopher Ruehl Sat, 02 Mar 2002 07:13:51 -0800

> Das ist ja kein Problem der iptables!
> Auch ohne iptables Regeln kann ich die Seite nicht
> aufrufen (mit INPUT, FORWARD und OUTPUT auf ACCEPT und
> ansonsten nur $IPTABLES -A POSTROUTING -t nat -s $localnet -d '!' $localnet 
> -j MASQUERADE)!
hier wuerde ich das MASQUERADE am Interface fest machen ..


## ------- keine Firewall --
INET_IFACE="eth1"
ILAN_IFACE="eth0"
INETIF="217.89.116.232/32"

# [*]   IP: advanced router  <<--- kernel config
# Turn on IP forwarding / syncookies / drop IP spoofing 
echo 1 > /proc/sys/net/ipv4/ip_forward
echo 1 > /proc/sys/net/ipv4/tcp_syncookies
echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter

# von aussen nach innen -- z.b.
# TCP(FTP, SSH, SMTP, WWW, POP3, AUTH) 
# UDP( DNS )
WELLTCP="21,22,25,80,110,113"
WELLUDP="53"

# --- neue chains --
iptables -N LOCALIN > /dev/null > 2>&1
iptables -N INETIN  > /dev/null > 2>&1
iptables -F LOCALIN > /dev/null > 2>&1
iptables -F INETIN  > /dev/null > 2>&1

# -- default Policies
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

# -- neue chains anspringen
iptables -A INPUT -i eth1 -j INETIN
iptables -A INPUT -i eth0 -j LOCALIN

# --- local darf alles 
iptables -A LOCALIN -j ACCEPT 

# -- local loopback device 
iptables -t filter -I INPUT -i lo -j ACCEPT

# -- Active wired connections
iptables -t filter -I FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -t filter -I INETIN  -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -t filter -I LOCALIN -m state --state ESTABLISHED,RELATED -j ACCEPT

# -- MASQ alles was raus geht
iptables -t nat -A POSTROUTING -o ${INET_IFACE} -j MASQUERADE

# -- Neue TCP aber nicht mit Syn Flag 
iptables -t filter -A INETIN -p tcp ! --sync -m state --state NEW -j DROP
# -- anti SPOOF --
iptables -t filter -A INETIN -s 0/0 -d ! $INETIF -j DROP

# -- offene ports TCP/UDP
iptables -t filter -A INETIN -p tcp --sync -m multiport --destination-port $WELLTCP -j 
ACCEPT
iptables -t filter -A INETIN -p udp -m multiport --destination-port $WELLUDP -JACCEPT


versuchs erstmal so.




> Ich denke inzwischen, dass das ein Routing-Problem ist.
> 
> route auf dem Rechner:
> Kernel IP routing table
> Destination                     Gateway                 Genmask 
>       Flags  Metric  Ref    Use  Iface
> 217.89.116.232          217.89.116.234  255.255.255.248 
> UG      0       0        0     eth1#
> 217.89.116.232          *                       255.255.255.248 
> U       0       0        0     eth1
> localnet                        192.168.0.1     255.255.255.0    UG     0 
>      0        0     eth0#
> localnet                        *                       255.255.255.0    U 
>      0       0        0     eth0
> default                         217.89.116.233  0.0.0.0                  UG 
>      0       0        0     eth1
> 
> Wobei mich die jeweils mit # gekennzeichneten Zeilen Stören!
> Ich hätte es lieber wie folgt:
> Kernel IP routing table
eben es sind eben die KERNEL IP ROUTINGS 
die kannste nicht loeschen deselgen habne die auch ein <device># stehen

-cr


-- 
       """"
Linux, O  O  we work on it!
        (    help the community and find the BUGS.
       +__/ 
----------------------------------------------------------------------------
PUG - Penguin User Group Wiesbaden - http://www.pug.org

Re: [PUG] HILFE!!! SQUID, IpTables, HTTP und woody...

Antwort per Email an